AD-Zertifizierungsstelle in Active-Directory vertrauenswürdig machen

Hallo zusammen,

ich bin noch ein Anfänger im Bereich Active-Directroy, deshalb meine Frage hier: Wie die AD-Zertifizierungsstelle in der AD vertrauenswürdig machen, ohne an jedem Client die Zertifikat installieren zu müssen. Geht das über eine Gruppenrichtlinie?

Vielen Dank schon einmal für eure Hilfe!

Please also mark the comments that contributed to the solution of the article

Content-Key: 374344

Url: https://administrator.de/contentid/374344

Printed on: April 27, 2024 at 02:04 o'clock

7 Comments

Latest comment

Ja. Per GPO verteilst du das Root-Zertifikat der CA. Damit vertrauen die Clients dann allen Zertifikaten, die von dieser CA ausgestellt wurden

Perfekt, da ist die Lösung. Vielen Dank!

Per GPO verteilst du das Root-Zertifikat der CA.

Nein das ist in einer Domain nicht nötig! Wenn das eine AD integrierte CA ist muß das nicht gemacht werden, die Clients ziehen in dem Fall das RootCert automatisch weil das im AD veröffentlicht wird!

Nur wenn das eine Offline CA ist musst du das Zertifikat der CA im AD veröffentlichen mit
certutil -dspublish RootCACertifice RootCA
Dann ziehen es die Clients ebenfalls automatisch.

Hier auch nachzulesen:
https://social.technet.microsoft.com/Forums/azure/en-US/dc4891be-e3ea-43 ...

Woran sehen ich, ob die CA in die AD integriert ist?

Wenn die Kiste im AD ist und du darauf die Rolle installiert hast und beim Installieren nicht "Standalone" gewählt hast ist es eine Enterprise CA. Ebenfalls über adsiedit.msc ersichtlich unter : CN=<CAServerName>,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=DC=example,DC=com

Wenn dort die Zertifizierungsstelle auftaucht ist sie mit der AD "gekoppelt" nehem ich mal an, oder?

Jepp.

German solved Question Windows Server Microsoft